in

Autenticar usuarios con reconocimiento facial nunca es una buena idea, dicen los expertos

GettyImages 924879090 4041b7ac9c36467baa05f6c6be81acc6

Conclusiones clave

  • El IRS ha abandonado los planes para usar el reconocimiento facial para autenticar a los contribuyentes.
  • El departamento ahora es consciente de las implicaciones de seguridad/privacidad de su plan ahora retirado.
  • Los expertos en seguridad y privacidad han sugerido varias alternativas viables que respetan la privacidad.

Spencer Whalen / EyeEm / Getty Images



El uso del reconocimiento facial para verificar la identidad de una persona, según el plan ahora recordado del IRS, nunca fue el enfoque correcto, afirman los expertos en seguridad y privacidad.


La medida del IRS provocó críticas de los defensores de la privacidad desde el momento en que se anunció. El 7 de febrero de 2022, varios legisladores se unieron al coro instando al IRS a revertir su decisión, lo que el departamento hizo poco después, prometiendo explorar otras opciones.


«El IRS toma en serio la privacidad y la seguridad de los contribuyentes, y entendemos las preocupaciones que se han planteado», señaló el comisionado del IRS, Chuck Rettig, al retractarse de la decisión. «Todos deben sentirse cómodos con la forma en que se protege su información personal, y estamos buscando rápidamente opciones a corto plazo que no impliquen el reconocimiento facial».



salvando la cara

La agencia planeaba utilizar la tecnología de autenticación de ID.me y había pedido a los usuarios que enviaran selfies en video a la empresa para acceder a sus cuentas en línea.


Jay Paz, director sénior de Entrega en Cobalt, le dijo a Lifewire por correo electrónico que, si bien la biometría se ha convertido en parte de nuestra vida diaria, gracias a los teléfonos inteligentes y los dispositivos inteligentes, su uso para la autenticación ha sido voluntario.


“Para sistemas y datos más sensibles, como a los que tiene acceso el IRS, es vital tener transparencia en la tecnología y los procesos que salvaguardarán los datos de los usuarios”, señaló Paz.



Tim Erlin, vicepresidente de estrategia de Tripwire, estuvo de acuerdo y le dijo a Lifewire por correo electrónico que, si bien la tecnología de reconocimiento facial se está polarizando en general, para muchos, la idea de confiar en un tercero para administrar dichos datos personales es inaceptable.


«Si Estados Unidos tuviera una ley de privacidad sólida que protegiera la información biométrica de las personas, sería una situación diferente. Sin embargo, sin ninguna protección para los datos de los ciudadanos estadounidenses, adoptar esta tecnología a esta escala sería una mala práctica de la privacidad», dijo Lecio. DePaula Jr., vicepresidente de protección de datos de KnowBe4, le dijo a Lifewire por correo electrónico.


Luego está el hecho de que no todas las personas tienen acceso a las capacidades de autenticación biométrica, algo que Paul Laudanski, Jefe de Inteligencia de Amenazas en Tessian, señaló a Lifewire por correo electrónico. Razonó que esto podría deberse a varios factores, como la falta de acceso a servicios de Internet confiables o dispositivos con cámaras y sensores compatibles.



Alternativas viables

DePaula Jr. cree que el plan del IRS fue una de esas situaciones en las que el fin no justifica los medios.


«El portal puede ser igual de seguro si se aprovechan los requisitos de contraseña segura y la autenticación de dos factores para los usuarios finales, que es una forma mucho más económica, menos intrusiva e imparcial de proteger el portal sin necesidad de recurrir a un tercero. ”, opinó.


Paz también está a favor de tales métodos secundarios de verificación de identidad, especialmente el uso de aplicaciones de contraseñas de un solo uso basadas en el tiempo, como Google Authenticator. Alternativamente, sugirió que el IRS también puede intentar usar números de teléfono verificados para enviar un código SMS a los usuarios, que es quizás la solución más accesible disponible para prácticamente todos los usuarios de todas las edades.


«Para sistemas y datos más sensibles… es vital tener transparencia en la tecnología y los procesos que salvaguardarán los datos de los usuarios».

Sin embargo, antes de que se concentre en una solución, Darren Cooper, CTO de Egress, explicó a Lifewire por correo electrónico que el IRS tendrá que asegurarse de que el mecanismo que seleccione pueda proteger los datos de los contribuyentes sin introducir problemas de accesibilidad.


Sugirió que si el departamento desea priorizar un mayor nivel de seguridad, podrían usar medios físicos de autenticación personal, como un llavero de seguridad RSA. Este método, sin embargo, es logísticamente complejo. La autenticación por SMS es una opción potencialmente menos compleja, pero Cooper agregó que solo funcionará si el departamento tiene un número de teléfono móvil conocido para todos.


«El IRS también debería considerar un requisito de interacción previa con el usuario para confirmar su identidad antes de que pueda acceder al servicio. Por ejemplo, podría exigir que los contribuyentes ingresen detalles de identificación únicos, como números de seguro social o pasaporte, que se pueden verificar por el IRS internamente antes de que se emita un inicio de sesión en línea. La sobrecarga logística aquí es mayor, pero garantiza que se pueda lograr un mayor nivel de seguridad», sugirió Cooper.


dem10 / Getty Images



Si bien el IRS no ha enumerado las alternativas que está explorando, claramente no hay escasez de opciones.


Incluso cuando elogiaron colectivamente al IRS por revertir su decisión, los expertos en seguridad señalan que otros en el gobierno, sobre todo el Departamento de Asuntos de Veteranos, todavía usan el mismo servicio de reconocimiento facial subyacente para fines de verificación de identidad.


Esto es algo de lo que DePaula Jr. está muy consciente y espera que el IRS “comience a encaminarse en la dirección correcta, porque una vez que una agencia gubernamental adopta un estándar, otros comienzan a seguirlo”.

What do you think?

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

bec2b275a7d610014d788ec0ccd6797a0e8fe529 b9aca4d4ae4c42f5a22486435d17e230

Eve muestra su primer monitor brillante para juegos

shilajit d c EBDlxDVwYGU unsplash 21aba381a7334454b83c4ab12d361e65

Por qué India quiere crear su propio sistema operativo para teléfonos